Et si Marvel parvenait enfin à se renouveler en s'éloignant de ce qui fait habituellement son succès ? La série Wonder Man, qui sera disponible dès le 28 janvier 2026 sur Disney+, nous montre ainsi une toute nouvelle facette surprenante des super-héros. Voici notre critique, garantie sans spoilers, de cette petite curiosité signée Marvel.
Si vous faites partie des curieux qui testent WinBoat (le projet open source de TibixDev pour lancer des applis Windows sous Linux via Docker), sachez qu'une vulnérabilité critique a été identifiée dans l'outil, et le scénario d'attaque est plutôt créatif.
Pour ceux qui ne connaissent pas, WinBoat est une appli Electron qui orchestre tout un petit monde (Docker / Podman, FreeRDP) pour rendre l'expérience Windows "seamless" sur votre bureau Linux. C'est ambitieux, c'est en beta, et forcément, il y a parfois des trous dans la raquette.
D'après le
write-up technique publié sur hack.do
, le problème venait de l'API locale exposée par WinBoat sur le port 7148. Cette API HTTP n'était pas authentifiée, ce qui est souvent le début des ennuis.
Le scénario décrit par le chercheur est le suivant : un attaquant héberge une page web malveillante et si vous visitez cette page avec votre navigateur (et sous réserve que les sécurités CORS/PNA ne bloquent pas la requête, ce qui dépend de votre config et du navigateur), elle peut envoyer des ordres à cette API locale localhost:7148.
L'API vulnérable (notamment le endpoint /update) permettrait alors de remplacer des composants internes du système invité. En gros, l'attaquant pourrait substituer le binaire guest_server légitime par une version malveillante.
Une fois que l'attaquant a compromis le conteneur Windows, il ne s'arrête pas là. Le chercheur explique que WinBoat permet au conteneur de communiquer des "entrées d'application" à l'hôte Linux. Si le conteneur compromis envoie un chemin forgé spécifiquement et que l'hôte tente de le lancer... c'est l'exécution de code arbitraire (RCE) sur votre machine Linux.
C'est un rappel assez violent que l'isolation, c'est compliqué à faire correctement, surtout quand on veut une intégration transparente entre deux systèmes.
La bonne nouvelle, c'est que le problème a été traité. La faille concernait les versions jusqu'à la v0.8.7. La version v0.9.0 introduit une authentification obligatoire pour cette API locale, avec un mot de passe aléatoire généré au lancement, ce qui coupe l'herbe sous le pied de ce type d'attaque web.
Si vous utilisez WinBoat, la mise à jour est donc plus que recommandée et si le sujet de l'isolation vous intéresse, jetez un œil à mon tuto sur l'installation de WSL 2 ou encore à cette autre faille RCE critique qui a secoué le monde Linux récemment.
Bref, prudence avec les outils en beta qui exposent des ports locaux !
La « Reine du crime » nous a quittés il y a 50 ans déjà, mais ses récits continuent de nous tenir en haleine. La preuve avec Les Sept Cadrans, mini-série adaptée du roman éponyme d’Agatha Christie et attendue dès le 15 janvier 2026 sur Netflix. Mais vaut-elle vraiment le coup d'œil ? Voici notre critique, garantie sans spoilers.
Quelques mois seulement après 28 ans plus tard, retour triomphant de la saga créée par Danny Boyle et Alex Garland, 28 ans plus tard : Le Temple des Morts transforme l'essai. Le film, cette fois réalisé par Nia DaCosta, raconte beaucoup de choses sous le prisme du gore et de l'âpreté. Voici notre critique, sans spoilers, de cette nouvelle épopée, à découvrir dès le 14 janvier 2026, au cinéma.
Connexion